DE102007008293A1 - Method and device for secure storage and secure reading of user data - Google Patents

Method and device for secure storage and secure reading of user data Download PDF

Info

Publication number
DE102007008293A1
DE102007008293A1 DE102007008293A DE102007008293A DE102007008293A1 DE 102007008293 A1 DE102007008293 A1 DE 102007008293A1 DE 102007008293 A DE102007008293 A DE 102007008293A DE 102007008293 A DE102007008293 A DE 102007008293A DE 102007008293 A1 DE102007008293 A1 DE 102007008293A1
Authority
DE
Germany
Prior art keywords
record
data
data area
identifier
stored
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
DE102007008293A
Other languages
German (de)
Other versions
DE102007008293B4 (en
Inventor
Rudolf Gerber
Manfred Götz
Franz Kimmich
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Continental Automotive Technologies GmbH
Original Assignee
Continental Automotive GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Continental Automotive GmbH filed Critical Continental Automotive GmbH
Priority to DE102007008293A priority Critical patent/DE102007008293B4/en
Priority to EP08708004.0A priority patent/EP2122525B1/en
Priority to RU2009134528/08A priority patent/RU2467390C2/en
Priority to TR2019/08685T priority patent/TR201908685T4/en
Priority to US12/527,383 priority patent/US20100122056A1/en
Priority to PCT/EP2008/050600 priority patent/WO2008098817A1/en
Publication of DE102007008293A1 publication Critical patent/DE102007008293A1/en
Application granted granted Critical
Publication of DE102007008293B4 publication Critical patent/DE102007008293B4/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/78Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
    • G06F21/79Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data in semiconductor storage media, e.g. directly-addressable memories
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/86Secure or tamper-resistant housings
    • G06F21/87Secure or tamper-resistant housings by means of encapsulation, e.g. for integrated circuits

Abstract

Nutzdaten (ND) werden in mindestens einem Datensatz (DS) in mindestens einem vorgegebenen, logischen Datenbereich gespeichert. Dem mindestens einen Datensatz (DS) wird jeweils eine Datensatzkennung (DSK) zugeordnet, die einen in dem jeweiligen vorgegebenen Datenbereich eindeutigen Eindeutigkeitsstempel, eine eindeutige Datenbereichskennung des vorgegebenen Datenbereichs, in dem der jeweilige Datensatz (DS) gespeichert ist, und eine logische Position des jeweiligen Datensatzes (DS) innerhalb des jeweiligen vorgegebenen Datenbereichs umfasst. Zu den Nutzdaten (ND) und der jeweils zugehörigen Datensatzkennung (DSK) des jeweiligen Datensatzes (DS) wird ein Datensatzprüfwert (DSP) ermittelt und gespeichert. Dem jeweiligen vorgegebenen Datenbereich wird eine Datenbereichsinformation (DBI) zugeordnet, die die Datenbereichskennung des jeweiligen vorgegebenen Datenbereichs und Informationen zu mindestens einem Wertebereich der Eindeutigkeitsstempel der aktuell in dem jeweiligen vorgegebenen Datenbereich gespeicherten Datensätze (DS) umfasst.User data (ND) are stored in at least one data record (DS) in at least one predetermined, logical data area. The at least one data record (DS) is assigned in each case a data record identifier (DSK) which has a uniqueness stamp which is unique in the respective given data area, a unique data area identifier of the predefined data area in which the respective data record (DS) is stored, and a logical position of the respective data record Record (DS) within the respective predetermined data range includes. For the payload data (ND) and the respectively associated record identifier (DSK) of the respective record (DS), a record check value (DSP) is determined and stored. The respective given data area is assigned a data area information (DBI) which comprises the data area identifier of the respective predefined data area and information about at least one value range of the uniqueness stamp of the data records (DS) currently stored in the respective predetermined data area.

Description

Die Erfindung betrifft ein Verfahren und eine Vorrichtung zum gesicherten Speichern und zum gesicherten Lesen von Nutzdaten, insbesondere in einem digitalen Tachographen.The The invention relates to a method and a device for secured Save and secure reading of user data, in particular in a digital tachograph.

In der WO 2005/098567 A1 ist eine Anordnung mit einem integrierten Schaltkreis offenbart. Der integrierte Schaltkreis umfasst eine Verschlüsselungseinheit als ein Funktionsmodul, mittels derer Daten oder Programmkode verschlüsselbar und entschlüsselbar sind. Ferner ist zum Schutz vor Manipulation eine Sicherheitssensorik als Funktionsmodul vorgesehen, mittels derer mindestens ein Betriebsparameter des integrierten Schaltkreises überwachbar ist. Eine Schutzschicht kann auf dem integrierten Schaltkreis ausgebildet sein und überwacht werden. Die Schutzschicht muss zerstört werden, um mechanisch auf die Struktur des integrierten Schaltkreises zugreifen zu können. Wird die Zerstörung der Schutzschicht erkannt, wird eine Löschung der zu schützenden Daten bewirkt.In the WO 2005/098567 A1 an arrangement with an integrated circuit is disclosed. The integrated circuit comprises an encryption unit as a function module by means of which data or program code can be encrypted and decrypted. Furthermore, to protect against manipulation, a safety sensor is provided as a functional module by means of which at least one operating parameter of the integrated circuit can be monitored. A protective layer may be formed on the integrated circuit and monitored. The protective layer must be destroyed in order to mechanically access the structure of the integrated circuit. If the destruction of the protective layer is detected, deletion of the data to be protected is effected.

Die Aufgabe der Erfindung ist, ein Verfahren und eine Vorrichtung zum gesicherten Speichern und ein Verfahren und eine Vorrichtung zum gesicherten Lesen von Nutzdaten zu schaffen, die zuverlässig sind.The The object of the invention is a method and an apparatus for secured storage and a method and apparatus for secure reading of user data that is reliable.

Die Aufgabe wird gelöst durch die Merkmale der unabhängigen Patentansprüche. Vorteilhafte Weiterbildungen der Erfindung sind in den Unteransprüchen gekennzeichnet.The Task is solved by the characteristics of the independent Claims. Advantageous developments of the invention are characterized in the subclaims.

Gemäß eines ersten Aspekts zeichnet sich die Erfindung aus durch ein Verfahren und eine entsprechende Vorrichtung zum gesicherten Speichern von Nutzdaten. Die Nutzdaten werden in mindestens einem Datensatz in mindestens einem vorgegebenen, logischen Datenbereich gespeichert. Dem mindestens einen Da tensatz wird jeweils eine Datensatzkennung zugeordnet, die einen in dem jeweiligen vorgegebenen Datenbereich eindeutigen Eindeutigkeitsstempel, eine eindeutige Datenbereichskennung des vorgegebenen Datenbereichs, in dem der jeweilige Datensatz gespeichert ist, und eine logische Position des jeweiligen Datensatzes innerhalb des jeweiligen vorgegebenen Datenbereichs umfasst. Die Datensatzkennung wird gespeichert. Zu den Nutzdaten und der jeweils zugehörigen Datensatzkennung des jeweiligen Datensatzes wird ein Datensatzprüfwert ermittelt und gespeichert. Dem jeweiligen vorgegebenen Datenbereich wird eine Datenbereichsinformation zugeordnet, die die Datenbereichskennung des jeweiligen vorgegebenen Datenbereichs umfasst. Die Datenbereichsinformation umfasst ferner Informationen zu mindestens einem Wertebereich der Eindeutigkeitsstempel der aktuell in dem jeweiligen vorgegebenen Datenbereich gespeicherten Datensätze. Die jeweilige Datenbereichsinformation wird sicher oder gesichert gespeichert.According to one In the first aspect, the invention is characterized by a method and a corresponding device for the secure storage of Payload. The payload is stored in at least one record in stored at least one predetermined, logical data area. The at least one data set is in each case assigned a data record identifier assigned, the one in the respective predetermined data area unique uniqueness stamp, a unique data area identifier of the predetermined data area in which the respective data record is stored is, and a logical position of each record within of the respective given data area. The record identifier will be saved. To the user data and the respective associated Record ID of the respective record becomes a record check value determined and saved. The respective given data area is assigned a data area information which is the data area identifier of the respective predetermined data area. The data area information also includes information on at least one range of values of Uniqueness stamp currently in the given one Data area stored records. The respective data area information becomes saved safely or securely.

Sicheres Speichern bedeutet, dass die so gespeicherten Daten vor Manipulation geschützt gespeichert werden. Das sichere Speichern erfolgt bevorzugt in einem sicheren Speicher, in dem die Daten elektrisch und/oder mechanisch vor Manipulation geschützt sind. Gesichertes Speichern bedeutet, dass die so gespeicherten Daten auf Manipulationen überprüfbar sind, zum Beispiel durch Überprüfen eines kryptographisch ermittelten Prüfwerts, wie zum Beispiel des Datensatzprüfwerts, oder einer kryptographisch ermittelten digitalen Signatur. Das gesicherte Speichern hat den Vorteil, dass die so gespeicherten Daten einfach und zuverlässig auf ihre Integrität überprüfbar sind und dass die Daten ferner nicht in dem sicheren Speicher gespeichert werden müssen. Aufgrund des im Allgemeinen hohen Preises des sicheren Speichers, können so Kosten gespart werden. Das sichere beziehungsweise gesicherte Speichern umfasst insbesondere kryptographisch sicheres beziehungsweise gesichertes Speichern, das heißt insbesondere das Nutzen kryptographischer Schlüssel und/oder kryptographischer Algorithmen zur Gewährleistung der Sicherheit.Secure Saving means that the data stored in this way is against manipulation be stored protected. Safe storage takes place preferably in a secure memory in which the data is electrical and / or mechanically protected against manipulation. secured Saving means that the data saved in this way can be checked for manipulation are, for example, by checking a cryptographic determined test value, such as the record test value, or a cryptographically determined digital signature. The saved save has the advantage that the data stored so easy and reliable are verifiable on their integrity and that the data is also not stored in the secure memory Need to become. Because of the generally high price Safe storage, so costs can be saved. The secure or secure storage includes in particular cryptographically secure storage, that means in particular the use of cryptographic keys and / or cryptographic algorithms for warranty safety.

Durch Vorsehen des Datensatzprüfwerts ist eine Manipulation der Nutzdaten und/oder der zugehörigen Datensatzkennung zuverlässig erkennbar. Anhand der Datenbereichskennung ist ein Austausch eines Datensatzes zwischen unterschiedlichen vorgegebenen Datenbereichen zuverlässig erkennbar. Ferner ist anhand der logischen Position des Datensatzes innerhalb des zugehörigen, vorgegebenen Datenbereichs ein Vertauschen von Datensätzen zuverlässig erkennbar. Anhand des Eindeutigkeitsstempels und der Information zu dem mindestens einen Wertebereich der Eindeutigkeitsstempel ist eine so genannte Replay-Attacke zuverlässig erkennbar. Bei einer Replay-Attacke wird beispielsweise ein alter Datensatz, der ungültig geworden ist, der jedoch einen korrekten Datensatzprüfwert aufweist, als ein neuerer Datensatz ausgegeben.By Providing the record check value is a manipulation of the User data and / or the associated record identifier reliable recognizable. Based on the data area identifier is an exchange of a Record between different predetermined data areas reliably recognizable. Further, by logical Position of the data record within the associated, predefined data area a swapping of records reliably recognizable. Based on the uniqueness stamp and the information on the at least A value range of the uniqueness stamp is a so-called Replay attack reliably recognizable. In a replay attack For example, an old record that has become invalid is, but has a correct record check value, output as a newer record.

Durch die genannten Maßnahmen sind die Nutzdaten gesichert gespeichert. Manipulationen der Nutzdaten sind einfach und zuverlässig erkennbar. Ferner ermöglicht das Vorsehen der Datensatzkennung, des Datensatzprüfwerts und der Datenbereichsinformation einen schnellen Zugriff auf die Nutzdaten und insbesondere ein schnelles, gesichertes Schreiben und ein schnelles, gesichertes Lesen und Überprüfen der Nutzdaten. Ein weiterer Vorteil ist, dass die Nutzdaten und die Datensatzkennung nicht in dem sicheren Speicher gespeichert werden müssen.By the measures mentioned are saved in the user data. Manipulation of user data is simple and reliable recognizable. Furthermore, the provision of the record identifier allows the record check value and the data area information fast access to the user data and in particular a fast, secure writing and fast, secure reading and checking the user data. Another advantage is that the payload and the record identifier is not stored in the secure storage Need to become.

In einer vorteilhaften Ausgestaltung umfasst das gesicherte Speichern der jeweiligen Datenbereichsinformation, zu mindestens einer Datenbereichsinformation mindestens eines vorgegebenen Datenbereichs einen gemeinsamen oder jeweiligen Datenbereichsprüfwert zu ermitteln und sicher oder gesichert zu speichern. Der Vorteil ist, dass Manipulationen der mindestens einen Datenbereichsinformation zuverlässig erkennbar sind. Ferner muss die mindestens eine Datenbereichsinformation so nicht in dem sicheren Speicher gespeichert sein. Der sichere Speicher kann dadurch mit einer besonders kleinen Speicherkapazität ausgebildet und entsprechend kostengünstig sein. Ferner ist die Integrität der mindestens einen Datenbereichsinformation einfach, schnell und zuverlässig überprüfbar.In an advantageous embodiment, the secure storage of the respective Datenbe includes Reichsinformation to determine at least one data area information of at least one predetermined data area a common or respective Datenbereichsprüfwert and store safely or securely. The advantage is that manipulations of the at least one data area information can be reliably detected. Furthermore, the at least one data area information need not be stored in the secure memory in this way. The secure memory can be formed with a particularly small storage capacity and be correspondingly inexpensive. Furthermore, the integrity of the at least one data area information can be checked easily, quickly and reliably.

In einer weiteren vorteilhaften Ausgestaltung ist dem jeweiligen vorgegebenen Datenbereich eine Ausschlussliste ungültig gewordener Datensätze zugeordnet. Der jeweilige Datensatz, der ungültig geworden ist, wird in der Ausschlussliste registriert. Die Ausschlussliste wird sicher oder gesichert gespeichert. Dadurch kann eine Replay-Attacke mit dem ungültig gewordenen Datensatz zuverlässig verhindert werden. Ferner ist so ein Löschen eines Datensatzes möglich, wodurch dieser ungültig wird, ohne die Integrität der in dem zugehörigen, vorgegebenen Datenbereich zu gefährden.In a further advantageous embodiment is the respective predetermined Data area an exclusion list of invalidated records assigned. The particular record that has become invalid is registered in the exclusion list. The exclusion list is saved safely or securely. This can be a replay attack reliable with the invalidated record be prevented. Furthermore, such a deletion of a record possible, which makes it invalid without the Integrity of in the associated, predetermined data area to endanger.

In diesem Zusammenhang ist es vorteilhaft, wenn durch das Registrieren des jeweiligen, ungültig gewordenen Datensatzes in der Ausschlussliste der zugehörige Eindeutigkeitsstempel in die Ausschlussliste eingetragen wird oder abhängig von diesem mindestens ein Wertebereich ungültig gewordener Eindeutigkeitsstempel in die Ausschlussliste eingetragen oder in der Ausschlussliste erweitert wird. Dies hat den Vorteil, dass ein Speicherplatzbedarf für die Ausschlussliste gering ist, insbesondere bei Vorsehen des mindestens einen Wertebereichs ungültig gewordener Eindeutigkeitsstempel. Ferner kann die Ausschlussliste so besonders schnell durchsucht werden.In In this context, it is advantageous if by registering of the respective, invalidated record in the Exclusion list the corresponding uniqueness stamp in the exclusion list is entered or depends on this at least one value range has become invalid Uniqueness stamp entered in the exclusion list or in the exclusion list is extended. This has the advantage of being a Space requirement for the exclusion list is low, in particular when the at least one value range has become invalid Uniqueness stamps. Furthermore, the exclusion list can be so special be searched quickly.

In einer weiteren vorteilhaften Ausgestaltung wird ein aktueller Zeitstempel ermittelt und in der jeweiligen Datensatzkennung gespeichert. Dadurch sind zeitlich zusammenhängende Datensätze sehr einfach und schnell ermittelbar, insbesondere auch in zwei oder mehr der vorgegebenen Datenbereichen.In a further advantageous embodiment is a current timestamp determined and stored in the respective record identifier. Thereby are temporally related records very easy and quickly ascertainable, especially in two or more of the predetermined data areas.

Gemäß eines zweiten Aspekts zeichnet sich die Erfindung aus durch ein Verfahren und eine entsprechende Vorrichtung zum gesicherten Lesen von Nutzdaten. Die Nutzdaten mindestens eines Datensatzes werden gelesen, die in mindestens einem vor gegebenen, logischen Datenbereich gespeichert sind. Eine dem mindestens einen Datensatz zugeordnete Datensatzkennung wird gelesen, die einen in dem jeweiligen vorgegebenen Datenbereich eindeutigen Eindeutigkeitsstempel, eine eindeutige Datenbereichskennung des vorgegebenen Datenbereichs, in dem der jeweilige Datensatz gespeichert ist, und eine logische Position des jeweiligen Datensatzes innerhalb des jeweiligen vorgegebenen Datenbereichs umfasst. Ein Datensatzprüfwert wird gelesen, der zu den Nutzdaten und der zugehörigen Datensatzkennung des jeweiligen Datensatzes gespeichert ist. Ein entsprechender Vergleichsdatensatzprüfwert wird ermittelt. Eine dem jeweiligen vorgegebenen Datenbereich zugeordnete Datenbereichsinformation wird gelesen, die die Datenbereichskennung des jeweiligen vorgegebenen Datenbereichs und Informationen zu mindestens einem Wertebereich der Eindeutigkeitsstempel der aktuell in dem jeweiligen vorgegebenen Datenbereich gespeicherten Datensätze umfasst. Eine Integrität der Nutzdaten des jeweiligen gelesenen Datensatzes wird überprüft abhängig von der jeweiligen Datensatzkennung, dem jeweiligen Datensatzprüfwert, dem jeweiligen Vergleichsdatensatzprüfwert und der zugehörigen Datenbereichsinformation.According to one second aspect, the invention is characterized by a method and a corresponding device for the secure reading of user data. The user data of at least one data record is read, which is stored in stored at least one given before, logical data area. A record identifier associated with the at least one record is read, the one in the respective given data area unique uniqueness stamp, a unique data area identifier the predetermined data area in which the respective data record is stored is, and a logical position of each record within of the respective given data area. A record check value is read to the payload and the associated Record identifier of each record is stored. An appropriate one Comparison record check value is determined. One of each predetermined data area associated data area information is read that the data area identifier of the given one Data area and information on at least one value range the uniqueness stamp currently in the given data area stored records. An integrity the user data of the respective read record is checked depending on the respective record identifier, the respective Record check value, the respective comparison record check value and the associated data area information.

Gesichertes Lesen bedeutet, dass die so gelesenen Daten auf Manipulationen überprüft werden, zum Beispiel durch Überprüfen eines kryptographisch ermittelten Prüfwerts, wie zum Beispiel des Datensatzprüfwerts, oder einer kryptographisch ermittelten digitalen Signatur.secured Reading means that the data read in this way is checked for tampering be, for example, by checking a cryptographic determined test value, such as the record test value, or a cryptographically determined digital signature.

Anhand des Datensatzprüfwerts ist eine Manipulation der Nutzdaten und/oder der zugehörigen Datensatzkennung zuverlässig erkennbar. Anhand der Datenbereichskennung ist ein Austausch eines Datensatzes zwischen unterschiedlichen vorgegebenen Datenbereichen zuverlässig erkennbar. Ferner ist anhand der logischen Position des Datensatzes innerhalb des zugehörigen, vorgegebenen Datenbereichs ein Vertauschen von Datensätzen zuverlässig erkennbar. Anhand des Eindeutigkeitsstempels und der Information zu dem mindestens einen Wertebereich der Ein deutigkeitsstempel ist eine so genannte Replay-Attacke zuverlässig erkennbar. Bei einer Replay-Attacke wird beispielsweise ein alter Datensatz, der ungültig geworden ist, der jedoch einen korrekten Datensatzprüfwert aufweist, als ein neuerer Datensatz ausgegeben.Based of the record check value is a manipulation of the payload and / or the associated record identifier reliable recognizable. Based on the data area identifier is an exchange of a record between different predetermined data areas reliably recognizable. Furthermore, based on the logical position of the record within the associated, predetermined data area a swap reliably recognizable from data records. Based of the uniqueness stamp and the information to the at least A value range of a uniqueness stamp is a so-called replay attack reliably recognizable. For example, a replay attack an old record that has become invalid, however has a correct record check value, as a newer one Record output.

Durch die genannten Maßnahmen werden die Nutzdaten gesichert gelesen. Manipulationen der Nutzdaten werden einfach und zuverlässig erkannt. Ferner ermöglichen die Datensatzkennung, der Datensatzprüfwert und die Datenbereichsinformation einen schnellen Zugriff auf die Nutzdaten und insbesondere ein schnelles, gesichertes Lesen und Überprüfen der Nutzdaten.By the measures mentioned are saved the user data read. Manipulating the user data becomes easy and reliable recognized. Furthermore, the record identifier allow the record check value and the data area information provides quick access to the User data and in particular a fast, secure reading and checking the user data.

In einer vorteilhaften Ausgestaltung des zweiten Aspekts wird mindestens ein gemeinsamer oder jeweiliger Datenbereichsprüfwert mindestens einer Datenbereichsinformation mindestens eines vorgegebenen Datenbereichs gelesen. Jeweils ein entsprechender gemeinsamer oder jeweiliger Vergleichsdatenbereichsprüfwert wird zu der mindestens einen Datenbereichsinformation des mindestens einen vorgegebenen Datenbereichs ermittelt. Die Integrität der Nutzdaten in dem jeweiligen Datensatz wird überprüft abhängig von dem mindestens einen gelesenen Datenbereichsprüfwert und dem mindestens einen Vergleichsdatenbereichsprüfwert. Der Vorteil ist, dass Manipulationen der mindestens einen Datenbereichsinformation zuverlässig erkannt werden. Ferner kann die Integrität der mindestens einen Datenbereichsinformation einfach, schnell und zuverlässig überprüft werden.In an advantageous embodiment of the second aspect, at least one common or respective data area check value of at least one data area information is at least one read predetermined data area. In each case a corresponding common or respective comparison data area check value is determined for the at least one data area information of the at least one predetermined data area. The integrity of the payload data in the respective data set is checked as a function of the at least one read data area check value and the at least one compare data area check value. The advantage is that manipulations of the at least one data area information are reliably detected. Furthermore, the integrity of the at least one data area information can be checked easily, quickly and reliably.

In einer weiteren vorteilhaften Ausgestaltung des zweiten Aspekts wird eine dem jeweiligen vorgegebenen Datenbereich zugeordnete Ausschlussliste ungültig gewordener Datensätze nach einer Registrierung des jeweiligen gelesenen Datensatzes durchsucht. Die Integrität der Nutzdaten wird in dem jeweiligen Datensatz überprüft abhängig von den in der Ausschlussliste registrierten, ungültig gewordenen Datensätzen. Die dem jeweiligen vorgegebenen Datenbereich zugeordnete Ausschluss liste wird sicher oder gesichert gelesen, das heißt aus einem manipulationssicheren Speicher gelesen und/oder auf ihre Integrität überprüft. Anders ausgedrückt umfasst das Überprüfen der Integrität der Nutzdaten gegebenenfalls auch das Überprüfen der Integrität der Ausschlussliste. Dadurch kann eine Replay-Attacke mit dem ungültig gewordenen Datensatz zuverlässig verhindert werden. Ferner kann so ein gelöschter Datensatz, der durch das Löschen ungültig geworden ist, nicht die Integrität der in dem zugehörigen, vorgegebenen Datenbereich gespeicherten Daten gefährden.In a further advantageous embodiment of the second aspect is an exclusion list associated with the respective given data area becomes invalid become records after a registration of the respective searched record searched. The integrity of the payload is checked in the respective record depending of those registered in the exclusion list, invalid become records. The the given one Data exclusion list associated with data area becomes secure or secured read, that is from a tamper-proof memory read and / or checked for integrity. In other words, checking includes the integrity of the user data, if necessary, also the checking the integrity of the exclusion list. This can be a replay attack reliable with the invalidated record be prevented. Furthermore, such a deleted record, which has become invalid by deleting, not the integrity of the associated, given Data area stored data.

In diesem Zusammenhang ist es vorteilhaft, wenn die Integrität der Nutzdaten in dem jeweiligen Datensatz überprüft wird abhängig von in der Ausschlussliste eingetragenen, ungültig gewordenen Eindeutigkeitsstempeln oder abhängig von mindestens einem Wertebereich ungültig gewordener Eindeutigkeitsstempel, der in der Ausschlussliste eingetragen ist. Dies hat den Vorteil, dass ein Speicherplatzbedarf für die Ausschlussliste gering ist, insbesondere bei Vorsehen des mindestens einen Wertebereichs ungültig gewordener Eindeutigkeitsstempel. Ferner kann die Ausschlussliste so besonders schnell durchsucht werden.In In this context, it is beneficial if the integrity the payload in the respective record checked is dependent on the number entered in the exclusion list, become uniqueness uniqueness stamps or dependent uniqueness stamp invalidated by at least one value range, which is entered in the exclusion list. This has the advantage that a space requirement for the exclusion list is low is, in particular when providing the at least one range of values invalidated uniqueness stamp. Furthermore, can the exclusion list will be searched so quickly.

Ausführungsbeispiele der Erfindung sind im Folgenden anhand der schematischen Zeichnungen erläutert. Es zeigen:embodiments The invention are explained below with reference to the schematic drawings. Show it:

1 einen digitalen Tachographen, 1 a digital tachograph,

2 eine erste Ausführungsform einer logischen Datenanordnung, 2 a first embodiment of a logical data arrangement,

3 eine zweite Ausführungsform der logischen Datenanordnung, 3 a second embodiment of the logical data arrangement,

4 eine Datensatzkennung, 4 a record identifier,

5 eine Datenbereichsinformation, 5 a data area information,

6 ein Ablaufdiagramm eines Programms zum gesicherten Speichern von Nutzdaten und 6 a flowchart of a program for secure storage of user data and

7 ein Ablaufdiagramm eines Programms zum gesicherten Lesen von Nutzdaten. 7 a flow diagram of a program for secure reading of user data.

Elemente gleicher Konstruktion oder Funktion sind figurenübergreifend mit den gleichen Bezugszeichen versehen.elements the same construction or function are cross-figurative provided with the same reference numerals.

Ein digitaler Tachograph TCO umfasst einen sicheren Speicher SMEM, einen Datenspeicher DMEM, eine Echtzeituhr RTC und mindestens eine Chipkartenleseeinheit, in die eine Chipkarte CK einsteckbar ist, zum Beispiel eine so genannte Tachographenkarte oder Werkstattkarte (1). Die Echtzeituhr RTC ist bevorzugt vor Manipulationen geschützt ausgebildet und kann nur von berechtigten Personen eingestellt werden, die sich durch eine entsprechende Chipkarte CK, zum Beispiel durch die Werkstattkarte, gegenüber dem Tachographen TCO ausweisen können. Der Tachograph TCO ist zum Erfassen einer Fahrgeschwindigkeit eines Fahrzeugs, in dem der Tachograph TCO vorzugsweise angeordnet ist, mit mindestens einem Raddrehzahlsensor RDS gekoppelt. Der Tachograph TCO kann auch als eine Vorrichtung zum Schreiben und/oder Lesen von Nutzdaten ND bezeichnet werden.A digital tachograph TCO comprises a secure memory SMEM, a data memory DMEM, a real-time clock RTC and at least one chip card reading unit into which a chip card CK can be inserted, for example a so-called tachograph card or workshop card ( 1 ). The real-time clock RTC is preferably protected against manipulation and can only be set by authorized persons who can identify themselves by a corresponding chip card CK, for example by the workshop card, with respect to the tachograph TCO. The tachograph TCO is coupled to at least one wheel speed sensor RDS for detecting a driving speed of a vehicle in which the tachograph TCO is preferably arranged. The tachograph TCO may also be referred to as a device for writing and / or reading user data ND.

Der sichere Speicher SMEM ist vorzugsweise elektrisch und/oder mechanisch vor Manipulationen der in diesem gespeicherten Daten geschützt. Beispielsweise ist der sichere Speicher SMEM mit einer Schutzschicht oder einem Sicherheitsgitter versehen, die beziehungsweise das elektrisch überwachbar ist. Bei einer Beschädigung der Schutzschicht beziehungsweise des Sicherheitsgitters kann ein Zugriff auf die in dem sicheren Speicher SMEM gespeicherten Daten verhindert werden, zum Beispiel durch Löschen der Daten. Der sichere Speicher SMEM kann jedoch auch anders ausgebildet sein.Of the Secure memory SMEM is preferably electrical and / or mechanical protected from manipulation of the data stored in it. For example is the secure memory SMEM with a protective layer or a Security grille provided, the or the electrically monitored is. In case of damage to the protective layer or The security grid can have access to the secure one Memory SMEM stored data can be prevented, for example by deleting the data. The secure memory SMEM can but also be designed differently.

Der Datenspeicher DMEM ist vorzugsweise unsicher ausgebildet, also insbesondere nicht elektrisch und/oder mechanisch vor Manipulation geschützt. Aufgrund des im Allgemeinen höheren Preises des sicheren Speichers SMEM gegenüber dem Datenspeicher DMEM weist der sichere Speicher SMEM nur eine geringe Speicherkapazität auf im Vergleich zu dem Datenspeicher DMEM. Jedoch sollen auch die in dem Datenspeicher DMEM gespeicherten Daten geschützt sein. Insbesondere sollen Manipulationen der Daten zuverlässig erkannt werden können. Der Tachograph TCO ist daher dazu ausgebildet, Daten gesichert in dem Datenspeicher DMEM zu speichern und aus diesem gesichert zu lesen. Die in dem Datenspeicher DMEM gespeicherten Daten sind dazu kryptographisch auf Manipulationen überprüfbar gespeichert und werden beim Lesen überprüft, um die Integrität der gelesenen Daten feststellen zu können oder Manipulationen erkennen zu können.The data memory DMEM is preferably designed to be unsafe, that is to say, in particular, not electrically and / or mechanically protected against manipulation. Due to the generally higher price of the secure memory SMEM compared to the data memory DMEM, the secure memory SMEM has only a small memory capacity compared to the data memory DMEM. However, the data stored in the data memory DMEM should also be protected. In particular, manipulations of the data are reliably detected who you can. The tachograph TCO is therefore designed to store data securely in the data memory DMEM and to read from this secured. The data stored in the data memory DMEM are cryptographically stored for manipulation verifiable and are checked during reading in order to determine the integrity of the read data or to detect tampering.

Die in dem Datenspeicher DMEM gespeicherten Daten umfassen die Nutzdaten ND, die beispielsweise die erfasste Fahrgeschwindigkeit umfassen. Die Chipkarte CK kann einen weiteren sicheren Speicher und einen weiteren Datenspeicher umfassen entsprechend dem sicheren Speicher SMEM und dem Datenspeicher DMEM des Tachographen TCO. Entsprechend können auch Daten gesichert in dem weiteren Datenspeicher der Chipkarte CK gespeichert oder gesichert aus diesem gelesen werden.The Data stored in the data memory DMEM includes the payload ND, for example, include the detected driving speed. The smart card CK may have another secure memory and a further data storage include according to the secure storage SMEM and the data memory DMEM of the tachograph TCO. Corresponding You can also save data in the other data store the chip card CK can be stored or saved read from this.

2 zeigt eine erste Ausführungsform einer logischen Datenanordnung von Daten in dem Datenspeicher DMEM und dem sicheren Speicher SMEM. Eine entsprechende logische Datenanordnung von Daten kann auch in dem weiteren Datenspeicher der Chipkarte CK und dem weiteren sicheren Speicher der Chipkarte CK vorgesehen sein. In dem Datenspeicher DMEM ist mindestens ein vorgegebener Datenbereich zum Speichern jeweils mindestens eines Datensatzes DS vorgesehen. Beispielhaft sind in 2 ein erster vorgegebener Datenbereich DB1, ein zweiter vorgegebener Datenbereich DB2 und ein dritter vorgegebener Datenbereich DB3 dargestellt. Es kann jedoch auch nur ein vorgegebener Datenbereich vorgesehen sein. Ferner können auch zwei oder mehr als drei vorgegebene Datenbereiche vorgesehen sein. 2 shows a first embodiment of a logical data arrangement of data in the data memory DMEM and the secure memory SMEM. A corresponding logical data arrangement of data can also be provided in the further data memory of the chip card CK and the further secure memory of the chip card CK. At least one predetermined data area for storing at least one data set DS is provided in the data memory DMEM. Exemplary are in 2 a first predetermined data area DB1, a second predetermined data area DB2 and a third predetermined data area DB3 are shown. However, only a predetermined data area can be provided. Furthermore, two or more than three predefined data areas can also be provided.

Die unterschiedlichen vorgegebenen Datenbereiche können für unterschiedliche Datentypen oder Datenstrukturen vorgesehen sein. Jedoch können auch mehrere vorgegebene Datenbereiche für den gleichen Datentyp oder für die gleiche Datenstruktur vorgesehen sein. Ferner kann auch vorgesehen sein, unterschiedliche Datentypen oder Datenstrukturen gemeinsam in einem der vorgegebenen Datenbereiche zu speichern. Beispielsweise kann einer der vorgegebenen Datenbereiche vorgesehen sein zum gesicherten Speichern der erfassten Fahrgeschwindigkeit als Nutzdaten ND. Ein anderer der vorgegebenen Datenbereiche kann vorgesehen sein zum gesicherten Speichern eines Einsteckzeitpunkts und Aussteckzeitpunkts der Chipkarte CK in die beziehungsweise aus der Chipkartenleseeinheit des Tachographen TCO als Nutzdaten ND. Es können jedoch auch andere oder weitere Nutzdaten ND gespeichert werden.The different predetermined data areas can for be provided different data types or data structures. However, several predetermined data ranges for the same data type or provided for the same data structure be. Furthermore, it can also be provided, different types of data or data structures together in one of the predetermined data areas save. For example, one of the predetermined data areas be provided for secure storage of the detected vehicle speed as user data ND. Another of the predetermined data areas can be provided for the secure storage of a Einsteckzeitpunkts and Aussteckzeitpunkts the chip card CK in or out of Chip card reading unit of the tachograph TCO as user data ND. It However, other or further user data ND can also be stored become.

Die Datensätze DS, die in den vorgegebenen Datenbereichen speicherbar sind, umfassen jeweils die Nutzdaten ND, eine Datensatzkennung DSK und einen Datensatzprüfwert DSP. Der Datensatzprüfwert DSP wird über die Nutzdaten ND und die Datensatzkennung DSK des jeweiligen Datensatzes DS gebildet. Der Datensatzprüfwert DSP wird vorzugsweise kryptographisch gebildet, zum Beispiel als eine digitale Signatur oder als ein Nachrichtenauthentisierungskode, der auch als Message Authentication Code, oder kurz: MAC, bezeichnet werden kann. Der Datensatzprüfwert DSP kann jedoch auch anders ausgebildet sein. Die Datensatzkennung DSK und der Datensatzprüfwert DSP sind dem zugehörigen Datensatz DS logisch zugeordnet, müssen jedoch nicht zusammen mit den Nutzdaten ND in dem zugehörigen, vorgegebenen Datenbereich gespeichert sein. Die Datensatzkennung DSK und der Datensatzprüfwert DSP des jeweiligen Datensatzes DS können auch an einem anderen Ort, zum Beispiel einem anderen Datenträger, gespeichert sein.The Records DS that can be stored in the specified data areas are each comprise the payload ND, a record identifier DSK and a record check value DSP. The record check value DSP is via the payload ND and the record identifier DSK of the respective data set DS formed. The record check value DSP is preferably formed cryptographically, for example as a digital signature or as a message authentication code, which is also called Message Authentication Code, or MAC for short can be. However, the record check value DSP may also be be trained differently. The record identifier DSK and the record check value DSP are logically assigned to the associated data set DS, but do not have to coincide with the payload ND in the associated, predetermined data area to be stored. The record identifier DSK and the record check value DSP of each record DS can also be on another Location, for example, another disk, stored be.

Der mindestens eine vorgegebene Datenbereich ist vorzugsweise als ein Ringspeicher ausgebildet mit einer vorgegebenen maximalen Anzahl MAX_DS von Datensätzen DS, die in dem jeweiligen Ringspeicher, das heißt in dem jeweiligen vorgegebenen Datenbereich, speicherbar sind. Der jeweilige Ringspeicher zeichnet sich dadurch aus, dass Datensätze DS nur an aufeinander folgenden, vorgegebenen Positionen POS speicherbar sind und dass bei dem Speichern des Datensatzes DS, der neu in dem Ringspeicher gespeichert wird, der jeweils älteste Datensatz DS in dem Ringspeicher überschrieben wird, wenn die maximale Anzahl MAX_DS von Datensätzen DS in dem jeweiligen Ringspeicher erreicht ist, das heißt der jeweilige Ringspeicher voll ist. Der mindestens eine vorgegebene Datenbereich kann jedoch auch anders ausgebildet sein.Of the At least one predetermined data area is preferably as one Ring memory formed with a predetermined maximum number MAX_DS of data sets DS, which are stored in the respective ring buffer, that is in the respective given data area, are storable. The respective ring buffer is characterized from that records DS only to successive, predetermined Positions POS are storable and that when saving the record DS, which is newly stored in the ring buffer, the oldest record DS is overwritten in the ring buffer if the maximum Number MAX_DS of records DS in the respective ring buffer is reached, that is, the respective ring buffer full is. However, the at least one predetermined data area can also be trained differently.

Für den Tachographen TCO ist die maximale Anzahl MAX_DS von Datensätzen DS bevorzugt so vorgegeben, dass die Nutzdaten ND, die innerhalb eines vorgegebenen Zeitraums voraussichtlich gespeichert werden sollen, in den jeweiligen Ringspeichern speicherbar sind, ohne dass ältere Datensätze DS überschrieben werden müssen. Beispielsweise beträgt der vorgegebene Zeitraum ein Jahr. Der vorgegebene Zeitraum kann jedoch auch kürzer oder länger vorgegeben sein.For The Tachograph TCO is the maximum number of MAX_DS records DS prefers so given that the payload ND, within a expected to be stored for a given period, can be stored in the respective ring memories without older ones Records DS must be overwritten. For example, the specified period is one year. However, the given period may be shorter or longer be predetermined.

Dem jeweiligen vorgegebenen Datenbereich ist jeweils eine Datenbereichsinformation DBI zugeordnet. In dem ersten Ausführungsbeispiel ist die jeweilige Datenbereichsinformation DBI in dem sicheren Speicher SMEM gespeichert. Dadurch ist die jeweilige Datenbereichsinformation DBI vor Manipulation geschützt. 3 zeigt eine zweite Ausführungsform der Datenanordnung. Bei der zweiten Ausführungsform der Datenanordnung ist vorgesehen, die jeweilige Datenbereichsinformation DBI in dem Datenspeicher DMEM zu speichern. Um Manipulationen an einer der Datenbereichsinformationen DBI erkennen zu können, ist vorgesehen, einen Datenbereichsprüfwert DBP für die jeweilige Datenbereichsinformation DBI oder gemeinsam für zwei oder mehr oder für auch alle Datenbereichsinformationen DBI zu ermitteln und in dem sicheren Speicher SMEM zu speichern. Dadurch wird in dem sicheren Speicher SMEM besonders wenig Speicherplatz benötigt.The respective given data area is in each case assigned a data area information DBI. In the first embodiment, the respective data area information DBI is stored in the secure memory SMEM. As a result, the respective data area information DBI is protected against manipulation. 3 shows a second embodiment of the data arrangement. In the second embodiment of the data arrangement is provided, the to store respective data area information DBI in the data memory DMEM. In order to be able to detect manipulations on one of the data area information DBI, it is provided to determine a data area check value DBP for the respective data area information DBI or jointly for two or more or even all data area information DBI and store it in the secure memory SMEM. As a result, very little storage space is needed in the secure memory SMEM.

4 zeigt die Datensatzkennung DSK. Die Datensatzkennung DSK des jeweiligen Datensatzes DS umfasst einen Eindeutigkeitsstempel ES, eine Datenbereichskennung DBK und eine logische Position POS des jeweiligen Datensatzes DS innerhalb des jeweiligen vorgegebenen Datenbereichs. Ferner kann die Datensatzkennung DSK auch einen Zeitstempel ZS umfassen, der vorzugsweise durch die Echtzeituhr RTC erzeugbar ist. Der Eindeutigkeitsstempel ES ist so ausgebildet, dass dieser jeweils eindeutig ist für jeden Datensatz DS und den jeweiligen vorgegebenen Datenbereich. Dies umfasst, dass ein bereits genutzter und ungültig gewordener Eindeutigkeitsstempel ES in dem zugehörigen, vorgegebenen Datenbereich nicht erneut genutzt wird für einen neuen Datensatz DS und dass ein neuer und in dem zugehörigen, vorgegebenen Datenbereich bislang ungenutzter Eindeutigkeitsstempel ES erzeugt und genutzt wird für einen Datensatz DS, der geändert wurde. Vorzugsweise ist der Eindeutigkeitsstempel ES als eine fortlaufende Nummer ausgebildet, zum Beispiel aus der Menge der ganzen Zahlen oder aus der Menge der natürlichen Zahlen. Der Eindeutigkeitsstempel ES kann jedoch auch anders ausgebildet sein, zum Beispiel als ein modifizierter Zeitstempel. Die Modifikation ist vorgesehen, um ein wiederholtes Auftreten desselben Eindeutigkeitsstempels ES zu verhindern, wenn die Uhrzeit zurückgestellt wird. Die Datenbereichskennung DBK ist ein eindeutiger Verweis auf den vorgegebenen Datenbereich, dem der jeweilige Datensatz DS zugeordnet ist. 4 shows the record identifier DSK. The data record identifier DSK of the respective data record DS comprises a uniqueness stamp ES, a data area identifier DBK and a logical position POS of the respective data record DS within the respective predefined data area. Furthermore, the data record identifier DSK can also include a time stamp ZS, which can preferably be generated by the real-time clock RTC. The uniqueness stamp ES is designed such that it is unique for each data record DS and the respective given data area. This includes that an uniqueness stamp ES already used and invalidated in the associated, predefined data area is not reused for a new data record DS and that a new and unused uniqueness stamp ES is generated and used for a data record DS that was changed. The uniqueness stamp ES is preferably designed as a consecutive number, for example from the set of integers or from the set of natural numbers. However, the uniqueness stamp ES can also be embodied differently, for example as a modified timestamp. The modification is provided to prevent repeated occurrence of the same uniqueness stamp ES when the clock is reset. The data area identifier DBK is a unique reference to the given data area to which the respective data record DS is assigned.

5 zeigt die Datenbereichsinformation DBI. Die Datenbereichsinformation DBI umfasst die Datenbereichskennung DBK und Informationen zu mindestens einem Wertebereich der Eindeutigkeitsstempel ES der aktuell in dem jeweiligen vorgegebenen Datenbereich gespeicherten Datensätze DS. Diese Information umfasst insbesondere einen Eindeutigkeitsstempel ES_MIN mit dem geringsten Wert aller aktuell in dem zugehörigen Datenbereich gespeicherten Datensätze DS. Ferner kann diese Information auch einen Eindeutigkeitsstempel ES_MAX mit dem größten Wert aller in dem zugehörigen Datenbereich gespeicherten Datensätze DS umfassen. Durch den Eindeutigkeitsstempel ES_MIN mit dem geringsten Wert und dem Eindeutigkeitsstempel ES_MAX mit dem größten Wert ist ein Wertebereich der Eindeutigkeitsstempel ES vorgegeben. Eindeutigkeitsstempel ES sind nur dann gültig, wenn sie innerhalb eines solchen Wertebereichs liegen. Durch Löschen, Ändern oder Hinzufügen von Datensätzen DS zu dem jeweiligen vorgegebenen Datenbereich wird die Information zu dem mindestens einen Wertebereich der Eindeutigkeitsstempel ES in der Datenbereichsinformation DBI entsprechend angepasst. Insbesondere kann vorgesehen sein, zwei oder mehr Wertebereiche der Eindeutigkeitsstempel ES in der jeweiligen Datenbereichsinformation DBI vorzusehen, wenn eine Folge der Eindeutigkeitsstempel ES der Datensätze DS in dem jeweiligen vorgegebenen Datenbereich eine oder mehrere Lücken aufweist. Eine solche Lücke kann beispielsweise durch Löschen eines Datensatzes DS oder mehrerer Datensätze DS entstehen. Unter Löschen ist hier auch zu verstehen, dass der zu löschende Datensatz DS als gelöscht oder ungültig markiert wird. Ungültig wird der jeweilige Datensatz DS beispielsweise auch dadurch, dass dessen Eindeutigkeitsstempel ES nicht innerhalb des mindestens einen Wertebereichs der Eindeutigkeitsstempel ES liegt. Mehrere Wertebereiche der Eindeutigkeitsstempel ES sind beispielsweise als eine verkettete Liste oder als mehrere verkettete Listen speicherbar oder lesbar. 5 shows the data area information DBI. The data area information DBI comprises the data area identifier DBK and information about at least one value range of the uniqueness stamps ES of the data records DS currently stored in the respective predefined data area. This information in particular comprises a uniqueness stamp ES_MIN with the lowest value of all data records DS currently stored in the associated data area. Furthermore, this information can also include a uniqueness stamp ES_MAX with the largest value of all data records DS stored in the associated data area. Due to the uniqueness stamp ES_MIN with the lowest value and the uniqueness stamp ES_MAX with the largest value, a value range of the uniqueness stamp ES is specified. Uniqueness stamps ES are only valid if they are within such a value range. By deleting, changing or adding data records DS to the respective given data area, the information about the at least one value range of the uniqueness stamps ES in the data area information DBI is adapted accordingly. In particular, it can be provided to provide two or more value ranges of the uniqueness stamps ES in the respective data area information DBI if a sequence of the uniqueness stamps ES of the data records DS has one or more gaps in the respective predefined data area. Such a gap may arise, for example, by deleting a DS record or multiple DS records. Delete is also to be understood here as meaning that the data record DS to be deleted is marked as deleted or invalid. For example, the respective data record DS also becomes invalid because its uniqueness stamp ES does not lie within the at least one value range of the uniqueness stamp ES. Several value ranges of the uniqueness stamps ES can be stored or read, for example, as a linked list or as multiple linked lists.

Alternativ oder zusätzlich kann eine Ausschlussliste AL vorgesehen sein, die der jeweiligen Datenbereichsinformation DBI zugeordnet ist. In der Ausschlussliste AL sind gelöschte, das heißt ungültig gewordene, Datensätze DS registriert. Dazu ist beispielsweise der jeweilige Eindeutigkeitsstempel ES in der Ausschlussliste AL eingetragen. Es kann auch vorgesehen sein, einen Wertebereich ungültig gewordener Eindeutigkeitsstempel ES für den jeweils ungültig gewordenen Datensatz DS in die Ausschlussliste AL einzutragen oder einen bereits in der Ausschlussliste AL eingetragenen Wertebereich ungültig gewordener Eindeutigkeitsstempel ES abhängig von dem Eindeutigkeitsstempel ES desjenigen Datensatzes DS zu erweitern, der als ungültig markiert werden soll. Somit ist ein Datensatz DS nur dann gültig, wenn dessen zugehöriger Eindeutigkeitsstempel ES innerhalb des mindestens einen Wertebereichs der Eindeutigkeitsstempel ES liegt und dessen zugehöriger Eindeutigkeitsstempel ES nicht in der Ausschlussliste AL eingetragen ist. Die Ausschlussliste AL ist bevorzugt sicher oder gesichert gespeichert, um eine unberechtigte Manipulation der Ausschlussliste AL zu verhindern.alternative or in addition, an exclusion list AL may be provided assigned to the respective data area information DBI is. In the exclusion list AL are deleted, that is invalidated records DS registered. For this purpose, for example, the respective uniqueness stamp ES in the exclusion list AL registered. It can also be provided a value range of invalidated uniqueness stamps ES for the invalidated record DS in the exclusion list AL or one already in the exclusion list AL entered value range invalidated uniqueness stamp ES depending on the uniqueness stamp ES of that data record DS to be marked as invalid. Thus, a record DS is valid only if its associated uniqueness stamps within the at least a value range of uniqueness stamps ES lies and whose Associated uniqueness stamp It is not in the exclusion list AL is registered. The exclusion list AL is preferably secure or saved to prevent unauthorized manipulation Exclusion list AL to prevent.

Ferner ist es vorteilhaft, in der jeweiligen Datenbereichsinformation eine neueste Position NPOS des zuletzt gespeicherten Datensatzes DS in dem zugehörigen, vorgegebenen Datenbereich und/oder eine Schreibposition SPOS der als nächstes zu beschreibenden Position POS in dem zugehörigen, vorgegebenen Datenbereich und/oder eine Anzahl ANZ_DS von Datensätzen DS, die aktuell in dem zugehörigen, vorgegebenen Datenbereich gespeichert sind, und/oder die maximale MAX_DS von Datensätzen DS, die in dem zugehörigen, vorgegebenen Datenbereich speicherbar sind, vorzusehen. Durch Vorsehen dieser Informationen in der jeweiligen Datenbereichsinformation DBI kann der Zugriff auf die Datensätze DS des zugehörigen, vorgegebenen Datenbereichs besonders einfach und schnell erfolgen. Es müssen jedoch nicht alle diese Informationen in der Datenbereichsinformation DBI vorgesehen sein. Beispielsweise kann die maximale Anzahl MAX_DS von Datensätzen DS, die in dem jeweiligen vorgegebenen Datenbereich speicherbar sind, auch fest in einem Programm kodiert sein, das das gesicherte Schreiben und/oder Lesen durchführt. Ferner ist gegebenenfalls die Schreibposition SPOS aus anderen Informationen ermittelbar, insbesondere wenn der mindestens eine vorgegebene Datenbereich als Ringspeicher ausgebildet ist. Beispielsweise kann als Schreibposition SPOS die der neuesten Position NPOS nachfolgende Position POS unter Berücksichtigung der maximalen Anzahl MAX_DS von Datensätzen DS ermittelt werden. Ferner kann gegebenenfalls der Eindeutigkeitsstempel ES_MAX mit dem größten Wert abhängig von der neuesten Position NPOS und der Schreibposition SPOS ermittelt werden und muss daher nicht vorgesehen sein. Ferner muss gegebenenfalls die neueste Position NPOS und die Schreibposition SPOS nicht vorgesehen sein, wenn die Anzahl ANZ_DS von Datensätzen DS in dem zugehörigen, vorgegebenen Datenbereich vorgesehen ist.Furthermore, it is advantageous to have in the respective data area information a newest position NPOS of the last stored data record DS in the associated, predefined data area and / or a write position SPOS of the position POS to be described next in the associated, predefined data area and / or a number ANZ_DS of DS records currently in the too belonging, predetermined data area are stored, and / or the maximum MAX_DS of records DS, which are storable in the associated, predetermined data area to provide. By providing this information in the respective data area information DBI, the access to the data sets DS of the associated, predefined data area can be effected particularly simply and quickly. However, not all of this information must be provided in the data area information DBI. For example, the maximum number MAX_DS of data sets DS that can be stored in the respective given data area can also be permanently coded in a program that performs the secure writing and / or reading. Furthermore, if appropriate, the writing position SPOS can be determined from other information, in particular if the at least one predetermined data area is designed as a ring memory. For example, as the writing position SPOS, the position POS following the newest position NPOS can be determined taking into account the maximum number MAX_DS of data records DS. Further, if necessary, the uniqueness stamp ES_MAX having the largest value can be determined depending on the latest position NPOS and the writing position SPOS, and therefore need not be provided. Further, if necessary, the newest position NPOS and the write position SPOS may not be provided if the number ANZ_DS of data sets DS is provided in the associated predetermined data area.

6 zeigt ein Ablaufdiagramm eines Programms zum gesicherten Schreiben von Nutzdaten ND. Das Programm beginnt in einem Schritt S1. In einem Schritt S2 werden die Nutzdaten ND in mindestens einem Datensatz DS gespeichert. Der jeweilige Datensatz DS ist einem vorgegebenen Datenbereich zugeordnet. Diese Zuordnung erfolgt beispielsweise abhängig von dem Datentyp oder der Datenstruktur der zu speichernden Nutzdaten ND. In einem Schritt S3 wird die jeweilige Datensatzkennung DSK erzeugt und für den jeweiligen Datensatz DS gespeichert. In einem Schritt S4 kann vorgesehen sein, den Zeitstempel ZS zu erzeugen und in der jeweiligen Datensatzkennung DSK zu speichern. 6 shows a flowchart of a program for secure writing of user data ND. The program starts in a step S1. In a step S2, the user data ND is stored in at least one data record DS. The respective data record DS is assigned to a predetermined data area. This assignment takes place, for example, depending on the data type or the data structure of the user data ND to be stored. In a step S3, the respective data record identifier DSK is generated and stored for the respective data record DS. In a step S4, it may be provided to generate the time stamp ZS and to store it in the respective data record identifier DSK.

In einem Schritt S5 wird der jeweilige Datensatzprüfwert DSP abhängig von den jeweiligen Nutzdaten ND und der jeweiligen Datensatzkennung DSK ermittelt. Der jeweilige Datensatzprüfwert DSP wird für den jeweiligen Datensatz DS gespeichert. In einem Schritt S6 wird die jeweilige Datenbereichsinformation DBI des jeweils zugehörigen, vorgegebenen Datenbereichs erzeugt und gespeichert oder, falls diese bereits gespeichert ist, aktualisiert. Dies betrifft insbesondere die Information über den mindestens einen Wertebereich der Eindeutigkeitsstempel ES und gegebenenfalls die neueste Position NPOS, die Schreibposition SPOS und/oder die Anzahl ANZ_DS von Datensätzen DS. Das Speichern der Datenbereichsinformation DBI erfolgt vorzugsweise sicher in dem sicheren Speicher SMEM oder gesichert in dem Datenspeicher DMEM. In letzterem Fall wird in einem Schritt S7 der jeweilige oder gemeinsame Datenbereichsprüfwert DBP erzeugt und sicher in dem sicheren Speicher SMEM gespeichert. Das Programm endet in einem Schritt S8.In a step S5 is the respective record check value DSP depending on the respective user data ND and the respective Record ID DSK determined. The respective record check value DSP is stored for the respective DS record. In a step S6, the respective data area information DBI of the respectively associated, predetermined data area and stored or, if already stored, updated. This concerns in particular the information about the at least one Value range of the uniqueness stamp ES and, if applicable, the latest position NPOS, the writing position SPOS and / or the number ANZ_DS of records DS. Storing the data area information DBI is preferably carried out safely in the secure memory SMEM or saved in the data store DMEM. In the latter case, in one step S7 the respective or common data area check value DBP is generated and stored securely in the secure memory SMEM. The program ends in a step S8.

Es kann auch ein Schritt S9 vorgesehen sein, der beispielsweise anstatt der Schritte S2 bis S5 ausgeführt wird, um einen Datensatz DS oder zwei oder mehr Datensätze DS zu löschen oder als ungültig zu markieren. Der jeweilige Datensatz DS wird dazu beispielsweise in der vorgesehenen Ausschlussliste AL registriert, zum Beispiel durch Eintragen des jeweiligen Eindeutigkeitsstempels ES oder durch Eintragen oder Anpassen eines Wertebereichs oder mehrerer Wertebereiche ungültig gewordener Eindeutigkeitsstempel ES.It can also be provided a step S9, for example, instead Steps S2 to S5 is executed to a record DS or delete two or more DS records or mark as invalid. The respective record For example, DS will be included in the designated exclusion list AL registered, for example by entering the respective uniqueness stamp ES or by entering or adjusting one or more value ranges Value ranges invalidated uniqueness stamp IT.

Anhand der so gespeicherten Daten ist eine Integrität der Nutzdaten ND überprüfbar. Eine Manipulation von Nutzdaten ND oder Datensatzkennung DSK und/oder gegebenenfalls von Datenbereichsinformationen DBI, das heißt eine Verletzung der Integrität der Nutzdaten ND, ist so erkennbar. Das Überprüfen erfolgt bei dem gesicherten Lesen der Nutzdaten ND.Based The data thus stored is an integrity of the payload ND verifiable. A manipulation of user data ND or data record identifier DSK and / or possibly data area information DBI, that is a violation of integrity the user data ND, is so recognizable. The checking takes place in the secure reading of the user data ND.

7 zeigt ein Ablaufdiagramm eines Programms zum gesicherten Lesen von Nutzdaten ND. Das Programm beginnt in einem Schritt S10. In einem Schritt S11 werden die zu lesenden Nutzdaten ND aus den jeweiligen Datensätzen DS gelesen. Ferner wird in einem Schritt S12 die Datensatzkennung DSK des jeweils zugehörigen Datensatzes DS gelesen. In einem Schritt S13 wird der jeweilige Datensatzprüfwert DSP des jeweiligen Datensatzes DS gelesen. Ferner wird abhängig von den gelesenen Nutzdaten ND und der jeweils zugehörigen Datensatzkennung DSK ein jeweils zugehöriger Vergleichsdatensatzprüfwert VDSP ermittelt. Das Ermitteln des Vergleichsdatensatzprüfwerts VDSP erfolgt bevorzugt auf die gleiche Weise, wie das Ermitteln des Datensatzprüfwerts DSP bei dem gesicherten Speicher der Nutzdaten ND. Dies ist jedoch abhängig von der Art des Datensatzprüfwerts DSP. Ferner kann in einem Schritt S14 vor gesehen sein, die Ausschlussliste AL zu lesen, die der Datenbereichsinformation DBI des zugehörigen vorgegebenen Datenbereichs zugeordnet ist, und gegebenenfalls auf ihre Integrität zu überprüfen. 7 shows a flowchart of a program for secure reading of user data ND. The program starts in a step S10. In a step S11, the payload data ND to be read is read from the respective data sets DS. Furthermore, the data record identifier DSK of the respective associated data set DS is read in a step S12. In a step S13, the respective data record check value DSP of the respective data set DS is read. Furthermore, depending on the read user data ND and the respectively associated data record identifier DSK, a respectively associated comparison data record test value VDSP is determined. The determination of the comparison data record check value VDSP is preferably carried out in the same way as the determination of the record check value DSP in the saved memory of the user data ND. However, this depends on the type of record check value DSP. Furthermore, in a step S14, it is possible to read the exclusion list AL, which is assigned to the data area information DBI of the associated predefined data area, and, if necessary, to check its integrity.

In einem Schritt S15 wird überprüft, ob der Vergleichsdatensatzprüfwert VDSP gleich dem Datensatzprüfwert DSP ist. Ferner kann in dem Schritt S15 überprüft werden, ob der jeweilige Datensatz DS in der Ausschlussliste AL registriert ist. Ist der ermittelte Vergleichsdatensatzprüfwert VDSP ungleich dem jeweiligen Datensatzprüfwert DSP oder ist der jeweilige Datensatz DS in der Ausschlussliste AL registriert, dann wird das Programm in einem Schritt S16 fortgesetzt, in dem festgestellt wird, dass die Integrität der Nutzdaten ND verletzt ist. Das Programm endet dann in einem Schritt S17.In a step S15, it is checked whether the comparison data set check value VDSP is equal to the record check value DSP. Furthermore, it can be checked in step S15 whether the respective data record DS is registered in the exclusion list AL. Is the ermit If the comparison data record check value VDSP is different from the respective data record check value DSP or if the respective data record DS is registered in the exclusion list AL, then the program is continued in a step S16 in which it is determined that the integrity of the user data ND has been violated. The program then ends in a step S17.

Ist in dem Schritt S15 jedoch der Vergleichsdatensatzprüfwert VDSP gleich dem Datensatzprüfwert DSP und ist der jeweilige Datensatz DS nicht in der Ausschlussliste AL registriert, dann wird das Programm in einem Schritt S18 fortgesetzt. In dem Schritt S18 wird die Datenbereichsinformation DBI des zugehörigen, vorgegebenen Datenbereichs gelesen. Gegebenenfalls ist in einem Schritt S19 vorgesehen, den jeweiligen oder gemeinsamen Datenbereichsprüfwert DBP zu lesen und einen Vergleichsdatenbereichsprüfwert VDSP entsprechend dem Datenbereichsprüfwert DBP zu ermitteln. In einem Schritt S20 wird überprüft, ob die Informationen in der Datensatzkennung DSK und in der Datenbereichsinformation DBI plausibel sind. Beispielsweise wird überprüft, ob der in der Datensatzkennung DSK gespeicherte Eindeutigkeitsstempel ES innerhalb des mindestens einen Wertebereichs der Eindeutigkeitsstempel ES liegt. Ferner wird überprüft, ob die Datenbereichskennung DBK übereinstimmt. Ferner wird vorzugsweise überprüft, ob die jeweilige Position POS, die in der jeweiligen Datensatzkennung DSK gespeichert ist, jeweils der tatsächlichen Position POS des jeweiligen Datensatzes DS in dem jeweils zugehörigen, vorgegebenen Datenbereich entspricht. Ferner kann überprüft werden, ob der Vergleichsdatenbereichsprüfwert VDBP gleich dem Datenbereichsprüfwert DBP ist. Sind die Informationen in der Datensatzkennung DSK und der Datenbereichsinformation DBI nicht plausibel oder stimmen der Vergleichsdatenbereichsprüfwert VDBP und der Datenbereichsprüfwert DBP nicht überein, dann wird das Programm in dem Schritt S16 fortgesetzt und in dem Schritt S17 beendet. Andernfalls wird das Programm in einem Schritt S21 fortgesetzt, in dem festgestellt wird, dass die Integrität der Nutzdaten ND gegeben ist und diese mit hoher Wahrscheinlichkeit nicht manipuliert wurden. Das Programm endet in dem Schritt S17.is however, in step S15, the comparison data set check value VDSP is equal to the record check value DSP and is the respective one Record DS is not registered in the exclusion list AL, then becomes the program continues in a step S18. In the step S18 is the data area information DBI of the associated, read predetermined data area. If necessary, it is in one Step S19, the respective or common data area check value DBP and a compare data range check value Determine VDSP according to the data area check value DBP. In a step S20 it is checked whether the information in the record identifier DSK and in the data area information DBI are plausible. For example, it checks whether the uniqueness stamp stored in the record identifier DSK ES within the at least one value range of the uniqueness stamp IT is up. It is also checked whether the data area identifier DBK matches. It is also preferable to check whether the respective position POS, that in the respective record identifier DSK is stored, each of the actual position POS of the respective data record DS in the respectively associated, given data range corresponds. It can also be checked whether the comparison data area check value VDBP is equal to Data area check value DBP is. Is the information in the record identifier DSK and the data area information DBI not plausible or agree the comparison data range check value VDBP and data range check value DBP do not match, then the program continues in step S16 and in the Step S17 ends. Otherwise, the program will be in one step S21 continued, which states that integrity the user data ND is given and these are not likely were manipulated. The program ends in step S17.

Eine Reihenfolge der jeweiligen Schritte der Programme gemäß 6 und 7 kann auch anders ausgebildet sein. Beispielsweise ist ein Lesereihenfolge der Nutzdaten ND, der Datensatzkennung DSK, der Datenbereichsinformation DBI, des Datensatzprüfwerts DSP und des Datenbereichprüfwerts DBP unerheblich. Ferner kann auch eine Prüfreihenfolge anders sein, das heißt Überprüfungen in den Schritten S15 und S20 können in einer anderen Reihenfolge ausgeführt werden. Entsprechend ist auch eine Schreibreihenfolge der Nutzdaten ND, der Datensatzkennung DSK, der Datenbereichsinformation DBI, des Datensatzprüfwerts DSP und des Datenbereichprüfwerts DBP unerheblich.A sequence of the respective steps of the programs according to 6 and 7 can also be designed differently. For example, a reading order of the user data ND, the record identifier DSK, the data area information DBI, the record check value DSP and the data area check value DBP is irrelevant. Further, a check order may be different, that is, checks in steps S15 and S20 may be performed in a different order. Accordingly, a write order of the user data ND, the record identifier DSK, the data area information DBI, the record check value DSP and the data area check value DBP is irrelevant.

Durch das gesicherte Speichern der Nutzdaten ND und durch das gesicherte Lesen der Nutzdaten ND sind Manipulationen der Nutzdaten ND einfach und zuverlässig erkennbar. Die erkennbaren Manipulationen umfassen Änderungen an den Nutzdaten ND, an der Datensatzkennung DSK und gegebenenfalls an der Datenbereichsinformation DBI. Ferner können die Manipulationen Änderungen der Position POS von Datensätzen DS innerhalb ihres zugehörigen vorgegebenen Datenbereichs, ein Austauschen von Datensätzen DS zwischen unterschiedlichen vorgegebenen Datenbereichen und ein Austauschen von Datenbereichsinformationen umfassen. Ferner sind so genannte Replay-Attacken erkennbar durch Vorsehen des Eindeutigkeitsstempels ES und der Berück sichtigung der Information zu dem mindestens einen Wertebereich der Eindeutigkeitsstempel ES innerhalb des zugehörigen, vorgegebenen Datenbereichs.By the secure storage of the user data ND and the secured Reading the user data ND are easy manipulations of the user data ND and reliably recognizable. The recognizable manipulations include changes to the payload ND, to the record identifier DSK and possibly at the data area information DBI. Further The manipulations can change the position POS of records DS within their associated predetermined data area, an exchange of data sets DS between different predetermined data areas and a replacement of data area information. Furthermore, so-called Replay attacks detectable by providing the uniqueness stamp ES and taking into account the information on the at least a value range of uniqueness stamps ES within the associated, given data area.

Ein Vorteil ist, dass nur über geringe Datenmengen rechenintensive, kryptographische Berechnungen durchgeführt werden müssen für das Ermitteln des jeweiligen Datensatzprüfwerts DSP und Vergleichsdatensatzprüfwerts VDSP und gegebenenfalls für das Ermitteln des jeweiligen oder gemeinsamen Datenbereichprüfwerts DBP und Vergleichsdatenbereichsprüfwerts VDBP. Simulationen haben gezeigt, dass eine Zeitdauer, die für den Integritätsschutz aufgewendet werden muss, sich durch das gesicherte Schreiben oder das gesicherte Lesen gemäß den obigen Ausführungen bei großen Datenmengen etwa um einen Faktor zwei bis drei reduzieren lässt. Ein Zugriff auf einen jeweiligen Datensatz DS, das heißt das gesicherte Schreiben oder das gesicherte Lesen des jeweiligen Datensatzes DS, kann so besonders schnell erfolgen. Das gesicherte Schreiben und das gesicherte Lesen gemäß den obigen Ausführungen ist insbesondere dann besonders vorteilhaft, wenn die gesichert gespeicherten Datensätze DS keinen oder nur seltenen Änderungen unterliegen.One The advantage is that only small data volumes require computation, Cryptographic calculations must be performed for determining the respective record check value DSP and comparison data set test value VDSP and, if applicable for determining the respective or common data area check value DBP and compare data range check value VDBP. simulations have shown that a period of time required for integrity must be spent by the secured letter or the secure reading according to the above for large amounts of data about a factor of two to three can be reduced. An access to a respective record DS, that is the secured letter or the secured one Reading the respective data record DS, can be done very quickly. The secure writing and the secure reading according to the The above statements are especially advantageous in particular. if the saved records DS no or are subject to only rare changes.

Das gesicherte Schreiben und/oder das gesicherte Lesen gemäß den obigen Ausführungen ist nicht nur in dem Tachographen TCO nutzbar. Andere Vorrichtungen im Automobilbereich, zum Beispiel Steuergeräte, oder in einem anderen technischen Bereich können ebenfalls von dem gesicherten Schreiben und/oder gesicherten Lesen profitieren. Beispielsweise können auch Programmkode und/oder Kennfelder und/oder andere Daten als die Nutzdaten ND entsprechend gesichert geschrieben und/oder gelesen werden.The secured letters and / or secure reading in accordance with The above is not only in the tachograph TCO available. Other devices in the automotive sector, for example control devices, or in another technical area can also benefit from the secure writing and / or secure reading. For example can also program code and / or maps and / or others Data written as the user data ND secured accordingly and / or to be read.

ALAL
Ausschlusslisteexclusion list
ANZ_DSANZ_DS
Anzahl von Datensätzennumber of records
CKCK
Chipkartesmart card
DB1DB1
erster vorgegebener Datenbereichfirst given data area
DB2DB2
zweiter vorgegebener Datenbereichsecond given data area
DB3DB3
dritter vorgegebener Datenbereichthird given data area
DBIDBI
DatenbereichsinformationData area information
DBKDBK
DatenbereichskennungThe data area identifier
DBPDBP
DatenbereichsprüfwertDatenbereichsprüfwert
DMEMDMEM
Datenspeicherdata storage
DSDS
Datensatzrecord
DSKDSK
DatensatzkennungRecord ID
DSPDSP
DatensatzprüfwertDatensatzprüfwert
ESIT
Eindeutigkeitsstempeluniqueness stamp
ES_MAXES_max
Eindeutigkeitsstempel mit größten Wertuniqueness stamp with greatest value
ES_MINES_MIN
Eindeutigkeitsstempel mit geringsten Wertuniqueness stamp with lowest value
MAX_DSMAX_DS
maximale Anzahl von Datensätzenmaximum Number of records
NDND
Nutzdatenpayload
NPOSNPOS
neueste Positionlatest position
POSPOS
Positionposition
RDSRDS
Raddrehzahlsensorwheel speed sensor
RTCRTC
EchtzeituhrReal Time Clock
S1–S21S1-S21
Schrittstep
SMEMSMEM
sicherer Speichersecure Storage
SPOSSPOS
Schreibpositionwrite position
TCOTCO
Tachographtachograph
VDBPVDBP
VergleichsdatenbereichsprüfwertVergleichsdatenbereichsprüfwert
VDSPVDSP
VergleichsdatensatzprüfwertVergleichsdatensatzprüfwert
ZSZS
Zeitstempeltime stamp

ZITATE ENTHALTEN IN DER BESCHREIBUNGQUOTES INCLUDE IN THE DESCRIPTION

Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.This list The documents listed by the applicant have been automated generated and is solely for better information recorded by the reader. The list is not part of the German Patent or utility model application. The DPMA takes over no liability for any errors or omissions.

Zitierte PatentliteraturCited patent literature

  • - WO 2005/098567 A1 [0002] WO 2005/098567 A1 [0002]

Claims (11)

Verfahren zum gesicherten Speichern von Nutzdaten (ND), bei dem – die Nutzdaten (ND) in mindestens einem Datensatz (DS) in mindestens einem vorgegebenen, logischen Datenbereich gespeichert werden, – dem mindestens einen Datensatz (DS) jeweils eine Datensatzkennung (DSK) zugeordnet wird, die umfasst einen in dem jeweiligen vorgegebenen Datenbereich eindeutigen Eindeutigkeitsstempel (ES), eine eindeutige Datenbereichskennung (DBK) des vorgegebenen Datenbereichs, in dem der jeweilige Datensatz (DS) gespeichert ist, und eine logische Position (POS) des jeweiligen Datensatzes (DS) innerhalb des jeweiligen vorgegebenen Datenbereichs, und die Datensatzkennung (DSK) gespeichert wird, – zu den Nutzdaten (ND) und der jeweils zugehörigen Datensatzkennung (DSK) des jeweiligen Datensatzes (DS) ein Datensatzprüfwert (DSP) ermittelt und gespeichert wird und – dem jeweiligen vorgegebenen Datenbereich eine Datenbereichsinformation (DBI) zugeordnet wird, die die Datenbereichskennung (DBK) des jeweiligen vorgegebenen Datenbereichs und Informationen zu mindestens einem Wertebereich der Eindeutigkeitsstempel (ES) der aktuell in dem jeweiligen vorgegebenen Datenbereich gespeicherten Datensätze (DS) umfasst, und die jeweilige Datenbereichsinformation (DBI) sicher oder gesichert gespeichert wird.Method for the secure storage of user data (ND), in which - the user data (ND) in at least one Record (DS) in at least one predetermined, logical data area get saved, - the at least one record (DS) is assigned a respective record identifier (DSK), which comprises a unique uniqueness stamp in the respective given data area (ES), a unique data area identifier (DBK) of the given Data area in which the respective data record (DS) is stored, and a logical position (POS) of the respective data record (DS) within the respective given data area, and the record identifier (DSK) is stored, - to the user data (ND) and the respectively associated data record identifier (DSK) of the respective Record (DS) determines a record check value (DSP) and is stored and - the respective given Data area is assigned a data area information (DBI), the data area identifier (DBK) of the respective given data area and information on at least one range of uniqueness stamps (ES) of the currently stored in the respective predetermined data area Records (DS), and the respective data area information (DBI) saved safely or securely. Verfahren nach Anspruch 1, bei dem das gesicherte Speichern der jeweiligen Datenbereichsinformation (DBI) umfasst, zu mindestens einer Datenbereichsinformation (DBI) mindestens eines vorgegebenen Datenbereichs einen gemeinsamen oder jeweiligen Datenbereichsprüfwert (DBP) zu ermitteln und sicher oder gesichert zu speichern.The method of claim 1, wherein the secured Storing the respective data area information (DBI), at least one data area information (DBI) at least one predetermined data range a common or respective Datenbereichsprüfungswert (DBP) and store it safely or securely. Verfahren nach einem der vorstehenden Ansprüchen, bei dem – dem jeweiligen vorgegebenen Datenbereich eine Ausschlussliste (AL) ungültig gewordener Datensätze (DS) zugeordnet ist, – der jeweilige Datensatz (DS), der ungültig geworden ist, in der Ausschlussliste (AL) registriert wird und – die Ausschlussliste (AL) sicher oder gesichert gespeichert wird.Method according to one of the preceding claims, in which - the respective given data area An exclusion list (AL) of invalidated records (DS) is assigned, - the respective data record (DS), which has become invalid in the exclusion list (AL) is registered and - the exclusion list (AL) sure or saved. Verfahren nach Anspruch 3, bei dem durch das Registrieren des jeweiligen, ungültig gewordenen Datensatzes (DS) in der Ausschlussliste (AL) der zugehörige Eindeutigkeitsstempel (ES) in die Ausschlussliste (AL) eingetragen wird oder abhängig von diesem mindestens ein Wertebereich ungültig gewordener Eindeutigkeitsstempel (ES) in die Ausschlussliste (AL) eingetragen oder in der Ausschlussliste (AL) erweitert wird.Method according to claim 3, wherein by registering of the respective, invalidated data set (DS) in the exclusion list (AL) the associated uniqueness stamp (ES) is entered in the exclusion list (AL) or dependent invalidated by this at least one value range Uniqueness stamp (ES) entered in the exclusion list (AL) or in the exclusion list (AL). Verfahren nach einem der vorstehenden Ansprüche, bei dem ein aktueller Zeitstempel (ZS) ermittelt und in der jeweiligen Datensatzkennung (DSK) gespeichert wird.Method according to one of the preceding claims, in which a current time stamp (ZS) determined and in the respective Record ID (DSK) is stored. Verfahren zum gesicherten Lesen von Nutzdaten (ND), bei dem – die Nutzdaten (ND) mindestens eines Datensatzes (DS) gelesen werden, die in mindestens einem vorgegebenen, logischen Datenbereich gespeichert sind, – eine dem mindestens einen Datensatz (DS) zugeordnete Datensatzkennung (DSK) gelesen wird, die umfasst einen in dem jeweiligen vorgegebenen Datenbereich eindeutigen Eindeutigkeitsstempel (ES), eine eindeutige Datenbereichskennung (DBK) des vorgegebenen Datenbereichs, in dem der jeweilige Datensatz (DS) gespeichert ist, und eine logische Position (POS) des jeweiligen Datensatzes (DS) innerhalb des jeweiligen vorgegebenen Datenbereichs, – ein Datensatzprüfwert (DSP) gelesen wird, der zu den Nutzdaten (ND) und der zugehörigen Datensatzkennung (DSK) des jeweiligen Datensatzes (DS) gespeichert ist, und ein entsprechender Vergleichsdatensatzprüfwert (VDSP) ermittelt wird, – eine dem jeweiligen vorgegebenen Datenbereich zugeordnete Datenbereichsinformation (DBI) gelesen wird, die die Datenbereichskennung (DBK) des jeweiligen vorgegebenen Datenbereichs und Informationen zu mindestens einem Wertebereich der Eindeutigkeitsstempel (ES) der aktuell in dem jeweiligen vorgegebenen Datenbereich gespeicherten Datensätze (DS) umfasst, und – eine Integrität der Nutzdaten (ND) des jeweiligen gelesenen Datensatzes (DS) überprüft wird abhängig von der jeweiligen Datensatzkennung (DSK), dem jeweiligen Datensatzprüfwert (DSP), dem jeweiligen Vergleichsdatensatzprüfwert (VDSP) und der zugehörigen Datenbereichsinformation (DBI).Method for the secure reading of user data (ND), in which - the payload (ND) of at least one record (DS) be read in at least one given, logical Data area are stored, - one at least read a record record (DSK) associated with a record (DS) which includes one in the respective predetermined data area unique uniqueness stamp (ES), a unique data area identifier (DBK) of the predetermined data area in which the respective data record (DS) is stored, and a logical position (POS) of the respective Data record (DS) within the respective given data range, - one Record Check Value (DSP) is read to the payload (ND) and the associated record identifier (DSK) of the respective Record (DS) is stored, and a corresponding comparison record check value (VDSP) is determined - one of the given Data area associated data area information (DBI) read which is the data area identifier (DBK) of the given one Data area and information on at least one value range the uniqueness stamp (ES) currently in the given Data area stored records (DS) includes, and - one Integrity of the user data (ND) of the respective read Record (DS) is checked depending on the respective record identifier (DSK), the respective record check value (DSP), the respective comparison data set check value (VDSP) and the associated data area information (DBI). Verfahren nach Anspruch 6, bei dem – mindestens ein gemeinsamer oder jeweiliger Datenbereichsprüfwert (DBP) mindestens einer Datenbereichsinformation (DBI) mindestens eines vorgegebenen Datenbereichs gelesen wird, – jeweils ein entsprechender gemeinsamer oder jeweiliger Vergleichsdatenbereichsprüfwert (VDSP) zu der mindestens einen Datenbereichsinformation (DBI) des mindestens einen vorgegebenen Datenbereichs ermittelt wird und – die Integrität der Nutzdaten (ND) in dem jeweiligen Datensatz (DS) überprüft wird abhängig von dem mindestens einen gelesenen Datenbereichsprüfwert (DBP) und dem mindestens einen Vergleichsdatenbereichsprüfwert (VDSP).The method of claim 6, wherein - at least a common or respective data area check value (DBP) at least one data area information (DBI) at least one given data range is read, - each a corresponding common or respective comparison data area check value (VDSP) to the at least one data area information (DBI) of the at least one predetermined data area is determined and - the Integrity of the user data (ND) in the respective data record (DS) is checked depending on the at least a read data area check value (DBP) and the at least a comparison data area check value (VDSP). Verfahren nach einem der Ansprüche 6 oder 7, bei dem – eine dem jeweiligen vorgegebenen Datenbereich zugeordnete Ausschlussliste (AL) ungültig gewordener Datensätze (DS) nach einer Registrierung des jeweiligen gelesenen Datensatzes (DS) durchsucht wird und – die Integrität der Nutzdaten (ND) in dem jeweiligen Datensatz (DS) überprüft wird abhängig von den in der Ausschlussliste (AL) registrierten, ungültig gewordenen Datensätzen (DS).Method according to one of Claims 6 or 7, in which - an exclusion list (AL) of invalid data records (DS) associated with the respective given data area is registered after registration of the respective The integrity of the user data (ND) is checked in the respective record (DS) is dependent on the in the exclusion list (AL) registered, invalidated records (DS). Verfahren nach Anspruch 8, bei dem die Integrität der Nutzdaten (ND) in dem jeweiligen Datensatz (DS) überprüft wird abhängig von in der Ausschlussliste (AL) eingetragenen, ungültig gewordenen Eindeutigkeitsstempeln (ES) oder abhängig von mindestens einem Wertebereich ungültig gewordener Eindeutigkeitsstempel (ES), der in der Ausschlussliste (AL) eingetragen ist.The method of claim 8, wherein the integrity the user data (ND) in the respective record (DS) checked is dependent on in the exclusion list (AL) registered, become uniqueness uniqueness stamps (ES) or dependent Uniqueness stamps that have become invalid by at least one value range (ES), which is entered in the exclusion list (AL). Vorrichtung zum gesicherten Speichern von Nutzdaten (ND), die ausgebildet ist, – zum Speichern der Nutzdaten (ND) in mindestens einem Datensatz (DS) in mindestens einem vorgegebenen, logischen Datenbereich, – zum jeweiligen Zuordnen einer Datensatzkennung (DSK) zu dem mindestens einen Datensatz (DS), die einen in dem jeweiligen vorgegebenen Datenbereich eindeutigen Eindeutigkeitsstempel (ES), eine eindeutige Datenbereichskennung (DBK) des vorgegebenen Datenbereichs, in dem der jeweilige Datensatz (DS) gespeichert ist, und eine logische Position (POS) des jeweiligen Datensatzes (DS) innerhalb des jeweiligen vorgegebenen Datenbereichs umfasst, und zum Speichern der Datensatzkennung (DSK), – zum Ermitteln eines Datensatzprüfwerts (DSP) zu den Nutzdaten (ND) und der jeweils zugehörigen Datensatzkennung (DSK) des jeweiligen Datensatzes (DS) und zum Speichern des jeweiligen Datensatzprüfwerts (DSP) und – zum Zuordnen einer Datenbereichsinformation (DBI) zu dem jeweiligen vorgegebenen Datenbereich, die umfasst die Datenbereichskennung (DBK) des jeweiligen vorgegebenen Datenbereichs und Informationen zu mindestens einem Wertebereich der Eindeutigkeitsstempel (ES) der aktuell in dem jeweiligen vorgegebenen Datenbereich gespeicherten Datensätze (DS), und zum sicheren oder gesicherten Speichern der jeweiligen Datenbereichsinformation (DBI).Device for the secure storage of user data (ND), which is trained - to save the user data (ND) in at least one data set (DS) in at least one predetermined, logical data area, - for the respective assignment a record identifier (DSK) to the at least one record (DS), the one in the given data area unique Uniqueness stamp (ES), a unique data area identifier (DBK) of the specified data area in which the respective data record (DS) is stored, and a logical position (POS) of the respective Data set (DS) within the respective given data range and storing the record identifier (DSK), - to the Determining a record check value (DSP) for the payload (ND) and the associated record identifier (DSK) of the respective data set (DS) and for storing the respective Record Check Value (DSP) and - to assign a data area information (DBI) to the respective predetermined Data area, which includes the data area identifier (DBK) of the respective predetermined data area and information on at least one range of values the uniqueness stamp (ES) currently in the given Data area stored records (DS), and to secure or secure storage of the respective data area information (DBI). Vorrichtung zum gesicherten Lesen von Nutzdaten (ND), die ausgebildet ist – zum Lesen der Nutzdaten (ND) mindestens eines Datensatzes (DS), die in mindestens einem vorgegebenen, logischen Datenbereich gespeichert sind, – zum Lesen einer dem mindestens einen Datensatz (DS) zugeordneten Datensatzkennung (DSK), die umfasst einen in dem jeweiligen vorgegebenen Datenbereich eindeutigen Eindeutigkeitsstempel (ES), eine eindeutige Datenbereichskennung (DBK) des vorgegebenen Datenbereichs, in dem der jeweilige Datensatz (DS) gespeichert ist, und eine logische Position (POS) des jeweiligen Datensatzes (DS) innerhalb des jeweiligen vorgegebenen Datenbereichs, – zum Lesen eines Datensatzprüfwerts (DSP), der zu den Nutzdaten (ND) und der zugehörigen Datensatzkennung (DSK) des jeweiligen Datensatzes (DS) gespeichert ist, und zum Ermitteln eines entsprechenden Vergleichsdatensatzprüfwerts (VDSP), – zum Lesen einer dem jeweiligen vorgegebenen Datenbereich zugeordneten Datenbereichsinformation (DBI), die die Datenbereichskennung (DBK) des jeweiligen vorgegebenen Datenbereichs und Informationen zu mindestens einem Wertebereich der Eindeutigkeitsstempel (ES) der aktuell in dem jeweiligen vorgegebenen Datenbereich gespeicherten Datensätze (DS) umfasst, und – zum Überprüfen einer Integrität der Nutzdaten (ND) des jeweiligen gelesenen Datensatzes (DS) abhängig von der jeweiligen Datensatzkennung (DSK), dem jeweiligen Datensatzprüfwert (DSP), dem jeweiligen Vergleichsdatensatzprüfwert (VDSP) und der zugehörigen Datenbereichsinformation (DBI).Device for secure reading of user data (ND), which is trained - for reading the user data (ND) of at least one data set (DS) that is contained in at least one predetermined, logical data area are stored, - to the Reading a record identifier associated with the at least one record (DS) (DSK), which includes one in the respective predetermined data area unique uniqueness stamp (ES), a unique data area identifier (DBK) of the predetermined data area in which the respective data record (DS) is stored, and a logical position (POS) of the respective Data record (DS) within the respective given data range, - to the Reading a record check value (DSP), which is the payload (ND) and the associated record identifier (DSK) of the respective Record (DS) is stored, and to determine a corresponding Comparison data record test value (VDSP), - to the Reading a data area assigned to the respective given data area Data area information (DBI) that contains the data area identifier (DBK) of the given data area and information on at least a range of uniqueness (ES) stamps currently in data records (DS) stored in the respective given data area includes, and - to check one Integrity of the user data (ND) of the respective read Record (DS) depending on the respective record identifier (DSK), the respective record check value (DSP), the respective Comparison Record Check Value (VDSP) and the associated Data area information (DBI).
DE102007008293A 2007-02-16 2007-02-16 Method and device for secure storage and secure reading of user data Active DE102007008293B4 (en)

Priority Applications (6)

Application Number Priority Date Filing Date Title
DE102007008293A DE102007008293B4 (en) 2007-02-16 2007-02-16 Method and device for secure storage and secure reading of user data
EP08708004.0A EP2122525B1 (en) 2007-02-16 2008-01-21 Method and device for securely storing and securely reading user data
RU2009134528/08A RU2467390C2 (en) 2007-02-16 2008-01-21 Method and apparatus for safe storage and safe reading of useful data
TR2019/08685T TR201908685T4 (en) 2007-02-16 2008-01-21 Method and device for the safe storage and secure reading of user data.
US12/527,383 US20100122056A1 (en) 2007-02-16 2008-01-21 Method and Device for Securely Storing and Securely Reading User Data
PCT/EP2008/050600 WO2008098817A1 (en) 2007-02-16 2008-01-21 Method and device for securely storing and securely reading user data

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102007008293A DE102007008293B4 (en) 2007-02-16 2007-02-16 Method and device for secure storage and secure reading of user data

Publications (2)

Publication Number Publication Date
DE102007008293A1 true DE102007008293A1 (en) 2008-09-04
DE102007008293B4 DE102007008293B4 (en) 2010-02-25

Family

ID=39295923

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102007008293A Active DE102007008293B4 (en) 2007-02-16 2007-02-16 Method and device for secure storage and secure reading of user data

Country Status (6)

Country Link
US (1) US20100122056A1 (en)
EP (1) EP2122525B1 (en)
DE (1) DE102007008293B4 (en)
RU (1) RU2467390C2 (en)
TR (1) TR201908685T4 (en)
WO (1) WO2008098817A1 (en)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2339499A4 (en) * 2008-08-22 2012-05-09 Ibm Storage device, information processing device, and program
DE102008061710A1 (en) * 2008-12-12 2010-06-17 Continental Automotive Gmbh Method for operating a sensor device and sensor device
DE102010002472A1 (en) * 2010-03-01 2011-09-01 Robert Bosch Gmbh Method for verifying a memory block of a non-volatile memory
KR102557785B1 (en) * 2017-12-20 2023-07-21 훼리카네트워크스 카부시키가이샤 Information processing device and information processing method

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6351752B1 (en) * 1998-07-08 2002-02-26 Ncr Corporation Method and apparatus for detecting changes to a collection of objects
EP1049988B1 (en) * 1998-01-23 2002-09-04 Emc Corporation Content addressable information encapsulation, representation, and transfer
US20050065943A1 (en) * 2003-07-10 2005-03-24 Sony Corporation Data management apparatus, data management method and computer program
WO2005098567A1 (en) 2004-03-24 2005-10-20 Siemens Aktiengesellschaft Integrated circuit device

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7152165B1 (en) * 1999-07-16 2006-12-19 Intertrust Technologies Corp. Trusted storage systems and methods
EP1164489B1 (en) * 1999-12-20 2007-02-14 Dai Nippon Printing Co., Ltd. Distributed data archive device and system
US6823453B1 (en) * 2000-10-06 2004-11-23 Hewlett-Packard Development Company, L.P. Apparatus and method for implementing spoofing-and replay-attack-resistant virtual zones on storage area networks
US7043637B2 (en) * 2001-03-21 2006-05-09 Microsoft Corporation On-disk file format for a serverless distributed file system
US6912645B2 (en) * 2001-07-19 2005-06-28 Lucent Technologies Inc. Method and apparatus for archival data storage
KR100970122B1 (en) * 2001-11-01 2010-07-13 베리사인 인코포레이티드 High speed non-concurrency controlled database
US20040054987A1 (en) * 2002-09-17 2004-03-18 Sonpar Nicki P. System and method of an incremental file audit in a computer system
US20050050342A1 (en) * 2003-08-13 2005-03-03 International Business Machines Corporation Secure storage utility
US7603568B1 (en) * 2004-04-21 2009-10-13 Sun Microsystems, Inc. Method and apparatus for self-validating checksums in a file system
DE102004030869A1 (en) * 2004-06-25 2006-01-19 Siemens Ag Data transmission in an arrangement with a tachograph
RU2277720C2 (en) * 2004-06-30 2006-06-10 Государственное образовательное учреждение высшего профессионального образования Курский государственный технический университет Method and device for limiting access to digital data recorded on carrier
EP1782148B1 (en) * 2004-07-21 2011-09-21 ITernity GmbH Rapid archivable worm memory system based on a hard disc
DE102005008928A1 (en) * 2005-02-24 2006-09-07 Siemens Ag Method for authenticating a module
US7509474B2 (en) * 2005-06-08 2009-03-24 Micron Technology, Inc. Robust index storage for non-volatile memory

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1049988B1 (en) * 1998-01-23 2002-09-04 Emc Corporation Content addressable information encapsulation, representation, and transfer
US6351752B1 (en) * 1998-07-08 2002-02-26 Ncr Corporation Method and apparatus for detecting changes to a collection of objects
US20050065943A1 (en) * 2003-07-10 2005-03-24 Sony Corporation Data management apparatus, data management method and computer program
WO2005098567A1 (en) 2004-03-24 2005-10-20 Siemens Aktiengesellschaft Integrated circuit device

Also Published As

Publication number Publication date
EP2122525A1 (en) 2009-11-25
WO2008098817A1 (en) 2008-08-21
US20100122056A1 (en) 2010-05-13
RU2467390C2 (en) 2012-11-20
RU2009134528A (en) 2011-03-27
EP2122525B1 (en) 2019-03-27
DE102007008293B4 (en) 2010-02-25
TR201908685T4 (en) 2019-07-22

Similar Documents

Publication Publication Date Title
EP1089219B1 (en) Method for protecting a data memory
DE102016007472A1 (en) Procedure for registering multiple vehicle data in a blockchain and protection against subsequent changes
DE102017007249A1 (en) Operating method for a filter system and filter system
DE102018210318B4 (en) Method for securing vehicle components and corresponding vehicle component
WO2019162072A1 (en) Tamper-evident storage of evidentiary data
EP2091000A2 (en) Method for protecting saved operational data of a machine assembly or similar assembly
EP3743688A1 (en) Method and device for storing distance data
EP2122525B1 (en) Method and device for securely storing and securely reading user data
WO2021233696A1 (en) Method for the secure use of cryptographic material
EP1927085A1 (en) Data processing arrangement and the operation mode thereof
DE102006009214A1 (en) Contents writing method for e.g. uniform channel programming electrically erasable ROM, involves writing contents of output memory to target memory if selection memory indicates to output memory that target memory is not written
DE3025044C2 (en)
EP0489091A1 (en) Process for coding and availability of a chip card.
DE102011014665A1 (en) Detecting attacks on a portable disk
DE102021003609A1 (en) Method and device for the documentation of operating data and their application for a high-voltage battery system
DE102006047245A1 (en) Tachograph assembly and method for introducing an identifier into an adapter for the tachograph assembly
EP0970449B1 (en) Portable data carrier and method for cryptographically secure use thereof with interchangeable keys
DE102018200807A1 (en) Method and server device for providing a digital vehicle companion book for a motor vehicle
DE10247794B4 (en) Managing a failed trial counter in a portable disk
EP1591864A2 (en) Method for protecting data on a data carrier against DFA - attacks
DE102010035314B4 (en) Method for managing a misoperation counter in a portable data carrier
DE102017011103A1 (en) Method for storing data of an odometer of a vehicle
DE102006054835A1 (en) Portable data carrier e.g. smart card, for e.g. identification purpose, has blocking functionality irreversibly activatable by blocking event and provided for selective blockage of write accesses on electrically erasable programmable ROM
DE102020208331A1 (en) Procedure for operating a hardware safety module
EP1564639B1 (en) Method for utilising a data memory medium having a trace memory

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
8364 No opposition during term of opposition
R084 Declaration of willingness to licence
R081 Change of applicant/patentee

Owner name: CONTINENTAL AUTOMOTIVE TECHNOLOGIES GMBH, DE

Free format text: FORMER OWNER: CONTINENTAL AUTOMOTIVE GMBH, 30165 HANNOVER, DE

R081 Change of applicant/patentee

Owner name: CONTINENTAL AUTOMOTIVE TECHNOLOGIES GMBH, DE

Free format text: FORMER OWNER: CONTINENTAL AUTOMOTIVE TECHNOLOGIES GMBH, 30165 HANNOVER, DE